Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Обробка персональних даних. Закон України «Про захист персональних даних» та GDPR. Продукти Thales як допоміжні інструменти захисту даних

Майстер-клас: секрети випікання найсмачніших млинців!

25.11.2024

Далі про все це покроково.
У сучасному бізнес-середовищі важливе місце посідають інформаційні технології, що зумовлено їх прогресивним розвитком та широкою інтеграцією у бізнес-процеси. Це значною мірою впливає на конкурентоспроможність, розвиток, транскордонне проникнення бізнесу та його масштабування. ІТ-компанії при наданні своїх сервісів або послуг здійснюють обробку значних масивів даних, зокрема і персональних даних фізичних осіб, що потребує не тільки вільного руху інформації, але й забезпечення її надійного захисту відповідно до чинного законодавства та для уникнення юридичних і фінансових ризиків. 
Повномасштабне вторгнення російської федерації в Україну змусило ІТ-компанії до пошуку нових горизонтів та можливостей для продовження діяльності. ІТ-компанії були змушені переміститися на більш безпечні території в Україні або за кордон. І саме на цьому кроці можуть виникнути труднощі при обробці персональних даних у відповідності до правових актів, залежно від місця реєстрації ІТ-компанії, клієнтів (резидент або нерезидент) та країни або території, на яких надаються сервіси й послуги. 
Розглянемо два варіанти:● ІТ-компанія, яка лишилася на території України та опрацьовує персональні дані громадян України, зареєстрованих громадян на території Європейського Союзу;● ІТ-компанія, яка здійснила релокацію на територію Європейського Союзу, зареєструвалася і опрацьовує персональні дані громадян Європейського Союзу.
Для подальшого розгляду наведених варіантів потрібно з’ясувати, які критерії впливають або встановлюють вимоги та норми права на опрацювання персональних даних. 
На території України діє закон України «Про захист персональних даних» (ЗУ Про захист персональних даних), який є основним актом щодо регулювання питань, пов’язаних із захистом і обробкою персональних даних, що спрямований на захист основоположних прав і свобод людини та громадян. 
В Європі прийнято Регламент Європейського Парламенту і Ради «Про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних» (General Data Protection Regulation, GDPR), який установлює відповідні норми та захищає фундаментальні права і свободи фізичних осіб, зокрема їхнє право на захист персональних даних. 
Повертаючись до наведених вище варіантів, ІТ-компанія, яка здійснює опрацювання персональних даних громадян України та зареєстрованих громадян на території Європейського Союзу, має дотримуватися норм ЗУ «Про захист персональних даних» та GDPR. Розглядаючи другий варіант, коли ІТ-компанія здійснила релокацію на територію Європейського Союзу, зареєструвалася і опрацьовує персональні дані громадян Європейського Союзу, в такому випадку ІТ-компанія має дотримуватися лише норм GDPR.
Окремо зазначимо, що ЗУ «Про захист персональних даних» є актом національного рівня та діє лише на території України. 
Далі у цій статті увага зосереджуватиметься саме на GDPR як новому виклику ІТ-компаніям для успішної діяльності на території Європейського Союзу, що є одним з найважливіших ринків для ІТ-компаній України.
Забезпечення або відповідність GDPR потребує значних ресурсів і є складним процесом, який потребує залучення фахівців ІТ-компаній з різних напрямів діяльності, зокрема юристів та технічних фахівців. 
GDPR передбачає розробку низки документів, якими визначатимуться основні засади і яких організація має дотримуватися при обробці даних. Їх визначатимуть: порядок укладення договорів між компанією і обробниками персональних даних, сповіщення суб’єктів даних про порядок обробки компанією їх персональних даних, дії компанії, у разі звернення суб’єкта даних зі скаргою чи запитом на реалізацію прав та ін. Але GDPR не обмежується лише документальним аспектом, а враховує також і технічний аспект, який стосується ІТ-інфраструктури компанії та її складових, засобів захисту інформації і кваліфікації працівників компанії, які залучені до обробки інформації. 
ІТ-компанії, здійснюючи обробку персональних даних, можуть зберігати їх в базах даних або як файл на серверах, або у інших формах, несанкціоноване розповсюдження яких може призвести не тільки до репутаційних втрат, а також і до значних штрафів зі сторони органів, що контролюють такі процеси.
Для уникнення подібних ситуацій розглянемо технічні рішення на прикладі кейсу сучасних продуктів компанії Thales, які можуть допомогти компаніям захистити дані при їх зберіганні та передачі в масштабі ІТ-інфраструктури компанії. 
Thales – це міжнародна компанія, що створює високотехнологічні продукти та послуги в декількох напрямках: цифрової ідентифікації та безпеки військової, аерокосмічної та транспортної промисловостей. В Україні компанія Thales активно співпрацює з державними установами та приватними компаніями, надаючи актуальні та сучасні рішення для захисту інформації та кібербезпеки. Рішення компанії Thales спрощують процеси захисту даних, покращують ефективність роботи компаній та допомагають адаптуватись і забезпечити відповідність до нормативних вимог. 
Розглянемо низку рішень Thales, застосування яких може буди корисним при спробі відповідати GDPR, з посиланням на конкретні статті GDPR:● Стаття 5. Принципи опрацювання персональних даних – CipherTrust Data Security Platform, CipherTrust Data Discovery and Classification, CipherTrust Database Protection (для безпечної обробки даних).● Стаття 6. Законність опрацювання – CipherTrust Data Transparent Encryption (для шифрування даних).● Стаття 15. Право суб'єкта даних на доступ – CipherTrust Transparent Encryption, CipherTrust Data Discovery and Classification (для отримання повної інформації про конфіденційні дані та їх виявлення, класифікації та аналізу ризиків, пов’язаних з ними).● Стаття 17. Право на стирання («право бути забутим») – CipherTrust Data Discovery and Classification (для отримання повного та чіткого розуміння про наявні конфіденційні дані та де вони зберігаються).● Стаття 20. Право на мобільність даних – Thales SureDrop (для безпечного поширення або обміну даними).● Стаття 25. Захист даних за призначенням і за замовчуванням – CipherTrust Tokenization, CipherTrust Data Transparent Encryption (для маскування даних або їх шифрування).● Стаття 32. Безпека опрацювання – CipherTrust Data Discovery and Classification, CipherTrust Data Transparent Encryption, CipherTrust Database Protection, CipherTrust Tokenization (для відслідковування ризиків, пов’язаних з обробкою даних та забезпеченням захисту, застосовуючи шифрування або маскування).● Статті 33 та 34. Повідомлення наглядового органу та суб’єкта даних про порушення захисту персональних даних – CipherTrust Transparent Encryption (журнали аудиту доступу, що можуть використовуватися для аналізу та виявлення несанкціонованого доступу).
Як бачимо, рішення Thales надають комплексний підхід щодо захисту даних та допомагають компаніям адаптуватися й підготуватися до нових нормативних вимог.
Отож, маємо визнати, що інтеграція України в ЄС, гармонізація законодавства України з законодавством ЄС, обробка українськими ІТ-компаніями персональних даних громадян ЄС, штрафні санкції за недотримання GDPR спонукають ІТ-компанії до впровадження організаційних та технічних засобів для забезпечення обробки персональних даних в рамках бізнес-процесів та відповідно до регулювальних актів, а рішення Thales можуть стати міцною опорою на шляху до GDPR compliance.

Автор: Дмитро Чуб

Illustration


Зателефонувати

+38 (044) 390 81 90

+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

+38 (044) 390 81 90

+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124